À l’occasion de la MOSEC 2020 (la Mobile Security Conference), qui s’est déroulée le 24 juillet à Shanghai, le chercheur en cybersécurité Xu Hao de la Team Pangu, a révélé l’existence d’une vulnérabilité du processeur de la Secure Enclave. La faille étant matérielle et la partie système de cette puce étant en « lecture seule », rendant impossible d’écrire dessus par mesure de sécurité.
Les iPhone 5S, 6 et 6 Plus, 6S et 6S Plus, SE (2015), 7 et 7 Plus 8 et 8 Plus, ainsi que X sont concernés par cette faille de sécurité puisqu’elle concerne l’ensemble des puces Apple A7 à A11. Selon le chercheur, Apple aurait repéré la faille et l’aurait comblée avant le lancement des puces A12 et A13.
Malheureusement, Apple ne peut rien faire pour corriger la faille à distance vu qu’il s’agit d’une brèche matérielle et mettre en place un programme de reprise et de remplacement est totalement inimaginable pour la firme. Pour éviter que la faille soit exploitée, il suffit « simplement » de ne pas se faire subtiliser son iPhone.
Dans un rapport, l’entreprise de cybersécurité californienne ZecOps détaille la nature de la vulnérabilité. Les victimes reçoivent un e-mail piégé, qui fait planter l’application et la force à redémarrer. Cela ouvre une porte dérobée qui permet aux hackers de lire, modifier et effacer des e-mails. Utilisée sur la dernière version d’iOS, cette faille fonctionne même si l’utilisateur n’ouvre pas le message.
En revanche, elle permet uniquement de pénétrer la boîte mail des iPhone, et ne concerne donc pas les autres applications. ZecOps affirme que d’autres failles, utilisées conjointement avec cette vulnérabilité, pourraient offrir un accès complet au téléphone visé. Mais elle ne sait pas si elles ont été découvertes.
D’après ZecOps, qui n’a toutefois pas été en mesure de fournir une preuve concrète de ses dires, cette faille était utilisée depuis plus de deux ans par un acteur inconnu. Sans le nommer expressément, ZecOps cite un groupe spécialisé dans les piratages par mail, qui aurait pu être engagé par un gouvernement pour lancer des attaques contre des individus.
La suite de cette faille: Selon toute probabilité, la Team Pangu devrait avertir Apple de l’existence de cette faille et empocher une belle prime pour leur travail. Une fois en possession de ces données, Apple pourra certainement rapidement corriger ce problème sur ses prochaines générations de produits.